Vulnerabilidad en Sourcecodester Payroll Management System v1.0 (CVE-2024-34833)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-434
Subida sin restricciones de ficheros de tipos peligrosos
Fecha de publicación:
17/06/2024
Última modificación:
30/04/2025
Descripción
Sourcecodester Payroll Management System v1.0 es vulnerable a la carga de archivos. Los usuarios pueden cargar imágenes a través de la página "save_settings". Un atacante no autenticado puede aprovechar esta funcionalidad para cargar un archivo PHP malicioso. La explotación exitosa de esta vulnerabilidad da como resultado la capacidad de ejecutar código arbitrario como usuario que ejecuta el servidor web.
Impacto
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:oretnom23:payroll_management_system:1.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/ShellUnease/payroll-management-system-rce
- https://packetstormsecurity.com/files/179106/Payroll-Management-System-1.0-Remote-Code-Execution.html
- https://github.com/ShellUnease/payroll-management-system-rce
- https://packetstormsecurity.com/files/179106/Payroll-Management-System-1.0-Remote-Code-Execution.html